哥伦比亚广播公司健康数据库泄露了超过1B的用户记录,这些记录在网上暴露无遗!今年早些时候,超过10亿条属于CVS健康的搜索记录被意外地发布在网上,公众很容易就能看到。
CBS健康数据库泄漏
根据网站的星球在美国,该数据库实际上属于这家医疗保健和零售巨头,而且没有密码保护。这一事实是由一位名为Jeremiah Fowler的独立网络安全研究员在2021年3月底发现的。该报告直接对不安全的互联网数据进行了研究。
据研究人员称,该数据库的技术大小约为204千兆万博体育登录首页字节,共有11亿条记录,没有任何形式的身份验证来帮助防止未经授权的进入。据称,在网上暴露的数据包括客户电子邮件地址、客户用户id,甚至是c顾客直接在CVS药房网站上搜索用于药物甚至COVID-19疫苗。
CVS消费者数据收集
根据FierceHealthcare从CVS.com和CVS Health收集的数据实际上代表了网站访问者日志,显示了访问者搜索过的所有内容。值得注意的是,对于公司来说,这可能是非常有价值的分析数据,可以看到消费者是如何与他们自己的平台互动的。
Fowler发现了一些记录,表明访问者能够搜索一些项目,包括药物、CVS产品和COVID-19疫苗。假设,可以很容易地将会话ID与他们正在搜索的内容相匹配,或者至少在会话期间添加一个购物车,然后再尝试使用据称暴露的电子邮件识别客户。
读也:苹果秘密医疗保健计划Casper可以让医生和病人更频繁地联系
CVS健康代表
据研究人员称,值得注意的是,不安全的数据确实存在很大的风险,暴露的电子邮件地址可能被用作网络钓鱼攻击的目标。福勒指出,研究团队随后立即直接发送了一份披露通知CVS Health和普通公众就在同一天,进出受到限制。
在新的声明中,CVS发言人证实,在3月份,一名安全研究人员确实通知了该公司关于公开访问的数据库实际上包含不可识别的CVS Health元数据。CVS随后表示,它与供应商迅速合作,能够关闭数据库。
Fowler还透露,CVS的代表指出,从技术上讲,客户的电子邮件并不是来自CVS的客户帐户记录,而是由访问者输入到搜索栏中的。万博体育登录首页Fowler仍然指出,不幸的是,唯一的罪魁祸首是人为错误,错误配置导致数据库被公开,网站访问者在搜索栏中输入了自己的电子邮件地址。
相关文章:Peloton Bike+被黑客绕过启动验证过程| McAfee警告公众
本文归科技时报所有万博体育登录首页
作者:Urian B。